- OneHalf
-
OneHalf — полиморфный файлово-загрузочный компьютерный вирус, работающий в среде MS-DOS.
При заражении компьютера, вирус устанавливал себя в Master boot record загрузочного диска и передавал управление программе-вирусоносителю. Он устанавливался в память компьютера при загрузке операционной системы, перехватывал прерывание INT 21h и во время работы компьютера постепенно шифровал данные, содержащиеся на жестком диске методом Исключающего ИЛИ (XOR) с случайным ключом. Когда резидентный модуль вируса находился в памяти, он контролировал все обращения к зашифрованным секторам и расшифровывал их «на лету», так что все программное обеспечение компьютера работало нормально. Если OneHalf просто удалить из оперативной памяти и загрузочного сектора, то станет невозможно правильно прочитать информацию, записанную в зашифрованных секторах диска. Вирус не заражал исполнимые файлы на жёстком диске компьютера, а добавлялся в программы на дискетах при обращении к ним. Он также не заражал загрузочный сектор дискет. При заражении файлов полиморфный расшифровщик в виде отдельных блоков случайным образом внедрялся по всему телу программы по образцу вируса CommanderBomber.
Как только вирус зашифровывал половину диска, при каждой следующей загрузке компьютера и загрузке вируса в память он с некоторой вероятностью выводил на экран сообщение:
Dis is one half.Press any key to continue …
После этого вирус ожидал, когда пользователь нажмет на какую-либо клавишу и продолжал свою работу. Для некоторых версий вируса отображаемая им надпись может несколько отличаться от приведенной выше.
Попытки удалить вирус из системы зачастую приводили к потере данных, так как операционная система не могла использовать зашифрованные части диска. Шифрование шло от конца диска к началу, и если вирус зашифровывал загрузочный сектор со своим кодом, то в при следующем запуске операционная система уже не могла загрузиться, и вся информация на диске становилась недоступной.
Вирус OneHalf использовал различные механизмы для своей маскировки. Он применял антиотладочные технологии, а также являлся стелс-вирусом и использовал при распространении полиморфные алгоритмы. Обнаружение и удаление вируса OneHalf были достаточно сложной задачей. Ранее не все антивирусные программы, которые определяли этот вирус, могли корректно его удалить.
В середине 1990-х гг. вирус OneHalf занимал одно из первых мест по распространенности. Это было связано с тем, что многие популярные антивирусные программы не обнаруживали этот вирус. У антивирусных программам, которые находили и удаляли OneHalf, операция расшифровки жёсткого диска могла занимать довольно значительное время в зависимости от того, насколько много секторов диска вирус успел зашифровать.
С распространением операционной системы Windows 95 и старше вирус OneHalf практически вымер.
Ссылки
Категория:- Компьютерные вирусы и сетевые черви
Wikimedia Foundation. 2010.